[datensicherheit.de, 31.05.2023] Die Datenschutzgrundverordnung (DSGVO) der Europäischen Union (EU) sei anstrengend, aber eine Erfolgsgeschichte, kommentiert Holger Dyroff, Co-Founder und „COO“ von ownCloud, und fordert: „Die Europäische Kommission sollte das fünfjährige Jubiläum der DSGVO dazu nutzen, noch einmal genau über ,Privacy Shield 2.0‘ nachzudenken!“

Foto: ownCloud

Holger Dyroff: Unternehmen drohen bei Einsatz US-amerikanischer Cloud-Lösungen weitere Jahre der Rechtsunsicherheit!

DSGVO hat allgemeines Problembewusstsein für Datenschutz geschärft

„Die DSGVO feiert fünfjähriges Jubiläum. Seit dem 25. Mai 2020 ist die Europäische Datenschutzgrundverordnung in Kraft. Auch wenn sie bei ihrer Einführung die Verantwortlichen viele Nerven gekostet hat, kann sie als Erfolgsgeschichte gelten“, so Dyroff. Sie habe etwa äußerst Erfreuliches bewirkt – nämlich das allgemeine Problembewusstsein für den Datenschutz geschärft.

Dafür hätten nicht zuletzt die vielen Schlagzeilen über die „saftigen Bußgelder“ gesorgt, welche „wegen Verstößen gegen die DSGVO verhängt“ wurden. Selbst mächtige US-Player müssten vor ihr zittern. Das habe jüngst auch der Meta-Konzern zu spüren bekommen, welcher wegen der Weitergabe von europäischer „facebook“-Nutzerdaten in die USA zu einer Rekordsbuße von 1,2 Milliarden Euro „verdonnert“ worden sei.

DSGVO als Erfolgsgeschichte findet weltweit Nachahmer

Dass die DSGVO eine Erfolgsgeschichte sei, zeige auch die Tatsache, dass sie viele Nachahmer weltweit gefunden habe: Australien, Brasilien, Südkorea, Thailand und sogar US-Staaten wie Kalifornien hätten sie sich bei ihren Datenschutzgesetzen diese zum Vorbild genommen. „Und am 1. September 2023 wird in der Schweiz das neue Datenschutzgesetz (nDSG) in Kraft treten. Es wird die Rechte der Schweizer Bürgerinnen und Bürger im Digitalen Zeitalter stärken und den Datenschutz der Eidgenossenschaft auf ein mit den EU-Staaten vergleichbares Niveau heben – indem es sich ebenfalls an der DSGVO orientiert.“

Dass Unternehmen sich an die Vorgaben der EU-DSGVO halten sollten, verstehe sich praktisch von selbst. Zu den vielen guten moralischen, rechtlichen und finanziellen Gründen komme jetzt nach fünf Jahren ein weiterer guter Grund hinzu: „Unternehmen müssen sich bei Verstößen künftig auch auf Schadenersatzforderungen für immaterielle Schäden gefasst machen.“ In einem Grundsatzurteil habe der Europäische Gerichtshof (EuGH) Anfang Mai 2023 bestätigt, dass Betroffene von Verstößen für immaterielle Beeinträchtigungen wie beispielsweise Bloßstellung Schadenersatz fordern könnten – ähnlich dem Schmerzensgeld bei Körperverletzungen. Für Unternehmen sei es deshalb wichtiger denn je, saubere Prozesse zur Erfüllung ihre Pflichten zu implementieren.

Daten europäischer Bürger bei US-Unternehmen nicht genug im Sinne der DSGVO geschützt

Für die Europäische Kommission wäre das fünfjährige Jubiläum eigentlich der ideale Anlass, noch einmal in sich zu gehen. Sie sei nämlich derzeit im Begriff, ein drittes Mal denselben Fehler zu begehen: „In den vergangenen Jahren kippte der Europäische Gerichtshof bereits zwei Abkommen der Kommission mit den USA. Erst sollte ,Safe Harbor’ und dann ,Privacy Shield’ einen sicheren Datentransfer von Europa nach Amerika gewährleisten, doch die obersten europäischen Richter zogen beides Mal die Notbremse“, ruft Dyroff in Erinnerung. „Wegen der umfassenden Zugriffsrechte der amerikanischen Geheimdienste, so ihre Begründung, seien die personenbezogenen Daten europäischer Bürger bei US-Unternehmen nicht genug im Sinne der DSGVO geschützt.“

Vor Kurzem hätten sich die EU-Kommission und die US-Regierung auf eine neue Regelung geeinigt, der dasselbe Schicksal drohe: „Es deutet nämlich nichts darauf hin, dass sich an den amerikanischen Überwachungsgesetzen – und damit am Grundproblem – irgendetwas ändern wird.“ Datenschützer gingen deshalb davon aus, dass der Europäische Gerichtshof auch dieses „Privacy Shield 2.0“-Abkommen wieder kassieren werde. Unternehmen drohten dann beim Einsatz US-amerikanischer „Cloud“-Lösungen weitere Jahre der Rechtsunsicherheit. Um das zu verhindern, sollte die Europäische Kommission sich anlässlich des DSGVO-Jubiläum darauf besinnen, was es wirklich bräuchte: „Ein .No Spy’-Abkommen mit den USA, das den Verzicht auf geheimdienstliche Aktivitäten garantiert“, betont Dyroff und stellt klar: „Bis zu einem solchen Abkommen gilt, dass die Clouds von US-Anbietern für persönliche Daten nicht rechtssicher genutzt werden können.“ Es sei gut, dass es digital souveräne Lösungen als Alternativen gebe.

Weitere Informationen zum Thema:

datensicherheit.de, 25.05.2023
5 Jahre DSGVO: Professor Kelber zieht positives Fazit / Datenschutz-Grundverordnung (DSGVO) ein europäisches Erfolgsmodell

[datensicherheit.de, 11.02.2021] „Die Ausgaben des Bundes für Software von Microsoft steigen und steigen“, kritisiert Tobias Gerlinger, „CEO“ und „Managing Director“ von ownCloud in Nürnberg, in seiner aktuellen Stellungnahme und fordert: „Wenn es die Bundesregierung mit der Digitalen Souveränität wirklich ernst meint, muss sie mit gutem Beispiel vorangehen.“

Foto: ownCloud

Tobias Gerlinger: Bundesregierung sollte mit gutem Beispiel vorangehen

Während deutscher EU-Ratspräsidentschaft 2020 wurde hehres Ziel verkündet – mehr Digitale Souveränität

Als Deutschland im vergangenen Jahr, 2020, die EU-Ratspräsidentschaft antrat, habe die Bundesregierung ein hehres Ziel verkündete – eben mehr Digitale Souveränität. Durch die Schaffung eines „europäischen digitalen Ökosystems“ solle der europäische Wirtschaftsraum aus der Abhängigkeit von den großen US-Tech-Konzernen befreit werden.
Gerlinger: „Angesichts der Zahlen, die derzeit die Runde machen, erscheint diese Ankündigung allerdings wie ein reines Lippenbekenntnis.“ Eine Anfrage aus der Partei „Die Linke“ an die Bundesregierung habe zutage gebracht, dass sich die Ausgaben des Bundes für Microsoft-Produkte seit 2015 fast vervierfacht hätten – „satte 178,5 Millionen Euro überwiesen die Bundesministerien im Jahr 2020 nach Redmond“.

US-Cloud-Act erlaubt Geheimdiensten Unterlaufen Digitaler Souveränität

„Und das, obwohl die datenschutzrechtlichen Probleme beim Einsatz US-amerikanischer Software seit Langem bekannt sind – und der Europäische Gerichtshof im Juli 2020 quasi amtlich festgestellt hat, dass der ,US-Cloud-Act‘ mit dem europäischen Datenschutzrecht nicht vereinbar ist“, moniert Gerlinger. Das oberste europäische Gericht habe entschieden, dass der „EU-US Privacy Shield“ nicht mehr angewendet werden dürfe, um den Transfer persönlicher Daten in die USA zu begründen.
Der „US-Cloud-Act“, so die Begründung, erlaube US-Geheimdiensten praktisch einen ungehemmten Zugriff auf Daten von EU-Bürgern – selbst dann, wenn die Server der US-Anbieter in Europa stünden. „Das alles hält unsere Bundesverwaltung aber offensichtlich nicht davon ab, weiterhin munter bei Microsoft einzukaufen“, sagt Gerlinger.

Gefangen in ausländischen Cloud-Angeboten verfliegt Digitale Souveränität

Besonders problematisch, so Gerlinger: „Die breite Nutzung der Microsoft-Cloud zur Speicherung und zum Austausch von Dateien in der öffentlichen Verwaltung. Da ein Transfer der Daten in die USA durch Microsoft dabei nicht ausgeschlossen werden kann, verstößt das schlicht und einfach gegen geltendes europäisches Datenschutzrecht.“
Darüber hinaus entstehe schnell ein sogenannter Lock-in-Effekt. Da es extrem aufwändig und kostspielig sei, größere Datenmengen wieder aus der Cloud herauszubekommen, seien die Behörden mehr und mehr darin gefangen. Sie lieferten sich damit quasi dem dominanten US-Konzern aus, „was die stark steigenden Ausgaben des Bundes für Microsoft-Produkte eindrucksvoll belegen“. Dies sei gleichermaßen „unverständlich wie unnötig“, da gerade für die Datenspeicherung vollwertige, digital souveräne Private-Cloud-Lösungen zur Verfügung stünden. Während Unternehmen dieses Kostenrisiko erkannt hätten und mehr und mehr auf hybride Cloud-Infrastrukturen setzten, um Abhängigkeiten zu vermeiden, scheine die öffentliche Verwaltung dieses Problem einfach auszublenden.

Digitale Souveränität muss auf europäischen Alternativen basieren

Wenn es die Bundesregierung mit der Digitalen Souveränität wirklich ernst meint, müsse sie mit gutem Beispiel vorangehen und auch selbst auf souveräne Alternativen setzen. „Sonst unterminiert sie ihre eigenen Ziele und das von ihr selbst vorangetriebene ,Gaia-X‘-Projekt zur Schaffung einer vertrauenswürdigen europäischen Dateninfrastruktur“, betont Gerlinger und ergänzt:
„Und an europäischen Alternativen mangelt es nun wahrlich nicht. Vor allem aus dem Open-Source-Ecosystem kommen Lösungen, die hinsichtlich Funktionsumfang und Nutzerfreundlichkeit absolut konkurrenzfähig sind.“ Es bleibe zu hoffen, dass sie trotz der riesigen Budgets der US-Tech-Konzerne für Marketing und Lobbying bei zukünftigen Beschaffungen Berücksichtigung fänden und den Ankündigungen auch Taten folgten.

Weitere Informationen zum Thema:

datensicherheit.de, 30.09.2020
Datenschutzkonferenz: Digitale Souveränität der öffentlichen Verwaltung beeinträchtigt / Verstärkt sollten laut Datenschutzkonferenz alternative Softwareprodukte sowie Open-Source-Produkte eingesetzt werden

datensicherheit.de, 07.04.2020
Digitale Souveränität: IT-Experten sehen starke Abhängigkeiten von außereuropäischen Anbietern / eco Umfrage zeigt: Jeder dritte IT-Experte sieht zu große Abhängigkeit / Standards für Schnittstellen und offene Quellcodes gefordert

datensicherheit.de, 29.01.2018
Dieter Kugelmann: Plädoyer für Souveränität in der digitalen Welt / Deutschland lässt Zeichen der Zeit unberücksichtigt und Chancen ungenutzt

[datensicherheit.de, 16.03.2017] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt, dass über 20.000 in Deutschland betriebene Clouds, die veraltete Versionen der Software „ownCloud“ und „Nextcloud“ einsetzen, zum Teil kritische Sicherheitslücken aufweisen. Angreifer könnten durch diesen unsicheren Betrieb auf die in der Cloud gespeicherten Daten zugreifen, sie manipulieren oder veröffentlichen. Betroffen seien u.a. die Cloud-Anwendungen großer und mittelständischer Unternehmen, öffentlicher und kommunaler Einrichtungen, von Energieversorgern, Krankenhäusern, Ärzten und Rechtsanwälten sowie privaten Nutzern.

Nur rund ein Fünftel der Betroffenen hat reagiert

Bereits seit Anfang Februar 2017 benachrichtige das CERT-Bund des BSI deutsche Netzbetreiber über diese ihm bekannten betroffenen Cloud-Systeme. Provider werden aufgerufen, ihre die Clouds in Eigenverantwortung betreibenden Kunden entsprechend zu informieren. Bislang habe jedoch nur rund ein Fünftel der bekannten betroffenen Unternehmen, Institutionen und Privatnutzer reagiert und die Sicherheitslücken durch bereits längere Zeit verfügbare Updates geschlossen.

Betreiber für Sicherheit ihrer Cloud verantwortlich

„Cloud-Betreiber sind für die Sicherheit ihrer Cloud verantwortlich und sollten mit dieser Verantwortung sorgsam umgehen. Der Betrieb von Clouds mit veralteten Software-Versionen, für die bereits seit langer Zeit Updates der Hersteller
bereitstehen, ist fahrlässig und macht es Kriminellen viel zu leicht, sensible Daten zu stehlen oder Geschäftsprozesse zu beeinflussen“, betont BSI-Präsident Arne Schönbohm. Empfehlungen des BSI für mehr Cloud-Sicherheit seien verfügbar, als nationale Cyber-Sicherheitsbehörde stehe man Cloud-Anwendern gern „mit Rat und Tat“ zur Seite.

Sicherheitsstatus von Clouds überprüfen!

Unabhängig vom Hersteller der Cloud-Software rät das BSI Cloud-Betreibern, den Versionsstand der von ihnen eingesetzten Cloud-Software regelmäßig zu überprüfen und bereitgestellte Updates schnellstmöglich zu installieren. Die Hersteller der weit verbreiteten Cloud-Software „ownCloud“ und „Nextcloud“ böten online kostenfreie Dienste an, mit denen Betreiber den Sicherheitsstatus von Clouds auf Basis dieser Software überprüfen könnten.

Hintergrund: Cloud-Systeme

Cloud-Systeme dienen dem einfachen Austausch bzw. einer Synchronisation von Daten. Tausende der in Deutschland betriebenen Cloud-Systeme laufen jedoch nach BSI-Erkenntnissen mit veralteten Software-Versionen, die von den Herstellern der Cloud-Software nicht mehr unterstützt werden und daher kritische Sicherheitslücken aufweisen.
Angreifer könnten diese Schwachstellen ausnutzen, um unberechtigt auf die in der Cloud gespeicherten Daten zuzugreifen, sensible Informationen wie Kundendaten, Unternehmensdaten oder persönliche Dokumente auszuspähen und diese für kriminelle Zwecke zu nutzen. Weitere Schwachstellen ermöglichen Angreifern die Ausführung beliebigen Programmcodes auf dem Cloud-Server – dies kann zu einer vollständigen Kompromittierung des Systems und dessen Missbrauch für weitere kriminelle Aktivitäten führen.

Weitere Informationen zum Thema:

ownCloud
Vulnerability Scanner

Nextcloud
Nextcloud Security Scan

Bundesamt für Sicherheit in der Informationstechnik
Digitale Gesellschaft / Cloud Computing

datensicherheit.de, 21.11.2016
Cloud Privacy Check: Größte europäische Informationsplattform zum Datenschutz

datensicherheit.de, 16.11.2016
Providerauswahl: Angst vorm Datenklau in der Cloud

datensicherheit.de, 23.10.2016
NIFIS warnt vor voreiligem Nutzen von Cloud-Lösungen